Coinbase Android Apps ir drošības kļūda, eksperts brīdina | LV.democraziakmzero.org

Coinbase Android Apps ir drošības kļūda, eksperts brīdina

Coinbase Android Apps ir drošības kļūda, eksperts brīdina

Kanādas programmētājs ir publicējusi to, ko viņš apgalvo, ir ievainojamība Coinbase Android progr, kas ir viens, kas var ļaut uzbrucēju iegūt pilnu piekļuvi lietotāja kontu.

Programmatūras inženieris Bryan Stern gāja tik tālu, lai brīdinātu lietotāju neizmantot Coinbase Bitcoin maks un tirgotāju progr par Android, līdz problēma ir novērsta, un ieteica tos pārbaudīt savus kontus aizdomīgas darbības.

Tomēr uzņēmums ir kopš atbildēja Stern ar Reddit pavedienu, norādot, ka ievainojamību nebija tik nopietns kā apgalvo Stern.

Stern, kurš strādā pie Android attīstībā Hootsuite, teica, ka viņš gribētu cēla šo jautājumu uz Coinbase uzmanību ar savu "baltā cepure" bug devība programmu marta sākumā, bet ir bijis domstarpības nopietnību jautājumu.

Atrodot savu jautājumu pašreizējo jaunākajā lietotnes versiju, viņš nolēma atbrīvot informāciju publiski 27. Jūnijā, cerot, ka tiks veikti nepieciešamie pasākumi.

Viņš uzrakstīja:

"Es nedomāju kaitējumu norīkošanu šo, bet es esmu neapmierināts, ka daži drošības labojumi, kas, iespējams, prasa varbūt 20 [attīstības] stundas, lai ieviestu un ir iespējams, par plānu pirms 3 mēnešiem vēl nav jārisina."

Jautājums pie rokas

Zemāka līmeņa drošību Android lietotnēs ļautu iebrucējiem uzsākt "cilvēku vidū" (MITM) uzbrukums pret lietotājiem, Stern teica. Viņš rakstīja savā ziņojumā:

"Coinbase gudri iesaka visiem klientiem no viņu API vajadzētu apstiprināt SSL sertifikātu iesniegts, lai novērstu MITM uzbrukumus. Tomēr tie nespēj to darīt savā Android pieteikumu."

Pateicoties tam, uzbrucējs varētu radīt "viltotais" SSL sertifikātu (kaut ar derīgu parakstu, bet no cita parakstīšanas iestāde vienas Coinbase izmanto) un pārtvert komunikācijas.

Par client_idand client_secret posteņus, kas ir daļa no lietojumprogrammas API, kas ir noslēpums, ir skaidri skatā publicēts GitHub Coinbase pirmkodā, Stern turpinājās. Tie tad būtu atklāts lietotāja autentifikācijas procesā un nodrošināt hakeris ar visu svarīgo access_token.

Ar uzbrukumu uzņēmējdarbību, kā arī šo nozagts marķiera, ļaunprātīgs hakeris varētu API pieprasījumus vēlāk par lietotāja vārdā - būtībā veikt pilnu kontroli pār savu kontu.

Stern ieteicams Coinbase izmaiņas client_idand client_secretand neatklāj to nākotnē. Viņš arī ieteica visus progr apstiprināt SSL savienojumus pareizi, un ka tās izmantot Coinbase API uzlabotu autentifikācijas procesā un pārtraukt izmantot novecojušais vienu.

Coinbasesaid draudi bija ļoti neliels, un uzbrukums var sekmīgi veikt tikai ar konkrētu, bet maz ticams, kas no apstākļiem.

Client_idand client_secretwere paredzēta kā valsts un nevis aizsardzība pret kapāt uzbrukumiem, uzņēmuma pārstāvis sacīja, un, lai gan SSL Piespraužot varētu palīdzēt pret dažiem uzbrukumiem, tas nebija aizsardzība pret visām ļaunprātīgas vai vietējā izmaiņām sertifikātu.

Bug Bounty programma

Pēc viņa prasījumus Coinbase sākotnēji ir noraidījusi 14. Martā Stern tad uzrakstīja blog post projektu brīdinot sabiedrību par šo jautājumu, un nosūta to uzņēmumu aprīlī.

Arī tas tika noraidīts, tāpēc viņš atvēra ziņojumu par HackerOne, vietā, kur ētikas hakeri neapmierināts ar esošajām devība programmu var atklāt ievainojamību privāti.

Coinbase maksā Stern $ 100, bet teica, ka tas nav iespējams šo problēmu novērst, kā rezultātā HackerOne padarīt ziņojumu publisko. Kad viņš atrada šo jautājumu joprojām nav noteikts jaunākajā versijā (2.2) un Coinbase s progr, Stern nolēma publicēt ziņojumu par savā blogā.

Coinbase ir bug veltes programpays vismaz $ 1000 Bitcoin ikviens, kurš var atrast derīgu drošības caurumu savā kodā, bet kompānija "patur tiesības izlemt, vai minimālais smagums slieksnis ir izpildīts".

Uzņēmums, kas aprīlī respondedto prasījumiem martā ka tās "Pieprasīt nauda 'funkcija atstāta lietotājiem pakļauti pikšķerēšanas mēģinājumiem. Funkcija ļāva lietotājam, lai noskaidrotu, vai e-pasta adrese tika pievienota Coinbase kontu, ievadot to meklēšanas laukā.

Saistītās ziņas


Post Valūtas maiņa

Bitcoin jaudas problēmas nav murgs, bet augstākas maksas var būt jauna realitāte

Post Valūtas maiņa

Lielbritānijā strauji pērkot bitīnus ar Bittylicious Marc Warne

Post Valūtas maiņa

BTC38 aptur RMB noguldījumus, citē Ķīnas Centrālās bankas vadlīnijas

Post Valūtas maiņa

Ķīnas Bitcoin ekosistēma neapmierināja FXBTC apmaiņas slēgšana

Post Valūtas maiņa

Kā ietaupīt uz Bitcoins augsto maksu

Post Valūtas maiņa

Bitstamp nepārtraukts pārtraukums atbalsojas Bitcoin ekonomikā

Post Valūtas maiņa

BBVA: Mēs vēlējāmies labāk izprast Bitcoin iespēju

Post Valūtas maiņa

SEC, CFTC vadītāju acu tuvāk kriptogrāfijas pārbaudei

Post Valūtas maiņa

IRS ir saistīts ar savu digitālās valūtas stratēģijas prezentāciju nākamajā nedēļā

Post Valūtas maiņa

Coinbase faili 9 Patenti Bitcoin produktiem

Post Valūtas maiņa

Chainalysis CEO noraidīja Sybil uzbrukumu Bitcoin tīklā

Post Valūtas maiņa

Cryptsys sabrukuma noslēpums pieaug, kad izpilddirektora atrašanās vieta nav zināma